关于两步验证
Kaspersky Security Center 为 Kaspersky Security Center 13.2 Web Console 用户提供两步验证。为您自己的账户启用两步验证后,每次登录 Kaspersky Security Center 13.2 Web Console 时,都需要输入用户名、密码和附加的一次性安全代码。如果您对账户使用域身份验证,则只需输入附加的一次性安全代码。要接收一次性安全代码,您的计算机或移动设备上必须有认证应用程序。
安全代码具有一个称为颁发者名称的标识符。安全代码颁发者名称用作管理服务器在认证应用程序中的标识符。您可以更改安全代码颁发者的名称。安全代码颁发者名称的默认值与管理服务器的名称相同。颁发者名称用作管理服务器在认证应用程序中的标识符。如果更改安全代码颁发者名称,则必须颁发新的 secret key 并将其传递给认证应用程序。安全码为一次性,有效期最长为 90 秒(具体时间可能会有所不同)。
任何已启用两步验证的用户都可以重新颁发自己的 secret key。当用户使用重新颁发的 secret key 进行身份验证并将其用于登录时,管理服务器将保存该用户账户的新 secret key。如果用户输入的新 secret key 不正确,则管理服务器不会保存新 secret key,并使当前的 secret key 对进一步的验证有效。
任何支持基于时间的一次性密码算法 (TOTP) 的认证软件都可以用作认证应用程序,例如 Google Authenticator。要生成安全代码,您必须将认证应用程序中设置的时间与管理服务器中设置的时间同步。
认证应用程序会生成安全代码,如下所示:
- 管理服务器生成一个特殊的 secret key 和 QR 码。
- 您将生成的 secret key 或 QR 码传递给认证应用程序。
- 认证应用程序生成一次性安全代码,您将其传递到管理服务器的身份验证窗口。
强烈建议您在多个设备上安装认证应用程序。保存 secret key(或 QR 码),并将其保管在安全的地方。万一您失去对移动设备的访问权限,这将帮助您恢复对 Kaspersky Security Center 13.2 Web Console 的访问权限。
为了保护 Kaspersky Security Center 的使用,您可以为您自己的账户启用两步验证,并为所有用户启用两步验证。
您可以从两步验证中排除账户。对于无法接收安全代码进行身份验证的服务账户,这可能是必需的。
两步验证按照以下规则工作:
- 只有在“常规功能:用户权限”功能区域中拥有“修改对象 ACL”权限的用户账户才能为所有用户启用两步验证。
- 只有为自己的账户启用了两步验证的用户才能为所有用户启用两步验证选项。
- 只有为自己的账户启用了两步验证的用户才能从为所有用户启用的两步验证列表中排除其他用户账户。
- 用户只能为自己的账户启用两步验证。
- 在“常规功能:用户权限”功能区域中拥有“修改对象 ACL”权限,并且使用两步验证登录到 Kaspersky Security Center 13.2 Web Console 的用户账户可以禁用两步验证:针对任何其他用户(仅当禁用了所有用户的两步验证时),针对从为所有用户启用的两步验证列表中排除的用户。
- 使用两步验证登录到 Kaspersky Security Center 13.2 Web Console 的任何用户都可以重新颁发自己的 secret key。
- 您可以为当前使用的管理服务器启用所有用户的两步验证选项。如果在管理服务器上启用此选项,则也为其虚拟管理服务器的用户账户启用此选项,但不为从属管理服务器的用户账户启用两步验证。
如果在 Kaspersky Security Center 管理服务器 13 或者更高版本上为某个用户账户启用了两步验证,则该用户将无法登录 Kaspersky Security Center 13.2 Web Console 12、12.1 或 12.2。